6月1日,《网络安全法》正式施行。对于“既存在于现实中,也存在于网络空间中”的我们来说,这部法律的影响都将无远弗届,意味着一个新时代的到来。
网络安全维系着国家安全,并在我们的“总体国家安全观”中据重要位置。网络安全比文化安全更直接,比科技安全更现实,比生态安全更紧迫,比核安全更常态。
现实世界中,无论公民还是企业,无论城市还是政府,无论个别诉求还是群体利益,几乎都与网络密不可分。个人的生活轨迹会在网络空间中留下“拷贝”;企业的经营活动会在网络空间投下“映像”;北京、成都、乌镇这些大大小小的城市,也可以对应网络世界中的微信群、魔兽世界、小密圈……
在网络化、信息化的时代,我们比以往更加便捷,也更加通透,每个个体也远比以往任何时候多了一分关联。由此,从个体到社会再到国家,安全的问题也贯穿始终。国家安全,归根到底代表着全体国人共同利益诉求的聚合。
没有网络安全就没有国家安全,没有信息化就没有现代化。在论述我国国家安全体系时,习近平总书记曾将其概括为“外部安全与内部安全、国土安全与国民安全、传统安全与非传统安全”等一系列辩证关系;而在非传统安全中,国家安全体系又被细分为包括政治、国土、军事、经济、文化、社会、科技、信息、生态、资源、核安全在内的11个紧密交织、互为支撑的领域。
任何领域的安全都关系到国家安全,那么,网络信息安全又有什么特殊性?
笔者曾提出过一个“五际缘”的安全观察框架模型,用地缘、经缘、人际、网际、科界来概括不同的博弈对抗环境。11个安全领域可以对比归类到这五种模型中。地缘对应国土、军事、生态、资源领域;经缘对应经济、资源领域;人际对应政治、社会、文化领域;网际对应信息领域;科界对应科技、生态、核安全领域。
不同的际缘所遵循的安全规律各有侧重。比如地缘方面,利益归结为实体的占有,我有你无,我无他有;那么边界和相邻就是重要关系。再比如经缘方面,虽然有我赢你亏的零和博弈,但是也有经济周期中的共同繁荣和共渡危机的非零和博弈。而网际——网络空间领域的关键要素是“信息”;信息可复制、易传播,信息的不均匀分布也代表着利益的不均匀分布。信息安全,很大程度上体现在对所谓“信息不对称”的把控上。如果要在“信息不对称”之争中获取优势,必须加强以下几方面的能力建设。
首先是对信息承载系统和体系的掌握,包括掌握形成这些系统和体系的技术;其次是获得和掌控更多的信息,无论这些信息是静态的还是流转的;此外还要拥有更强的信息分析、处理和理解的能力;最后也是最为关键的是,要具有将信息转化为其他价值的能力。上述每方面的能力,都包含建立发展自己、破坏他人、防御被他人破坏这三个视角。
对比中美两国的“信息不对称”情况可以发现,在系统和体系的掌握方面,美国占有优势,特别是其对关键技术、核心技术的掌握。中国基于人口红利的影响,在电子商务领域形成跳跃式的发展,特别是在电子商务的信息掌握、分析处理、价值转化上已经超越美国。最典型的例子就是支付宝、微信支付等模式把美国的在线支付体系甩了几条街。与此同时也应该看到,由于美国占据国际互联网的枢纽位置,其对全网数据和全网态势的把握依然强大,而在这方面我们的掌控几乎为零。大数据给了世界各国一个新的契机。中美在大数据发展上都给予了极高的重视和投入,借助这一技术浪潮不断拉大与其他国家的距离,成为两国角力的一个共同想法。人工智能的方兴未艾改变了人们对于数据处理的模式。在这方面,美国已经走在前面,我们虽然落后,但正在紧紧逼近。
从中美对比的例子可以看出,网络安全和信息安全都高度依赖于科技安全。而当前科技安全的制高点无疑聚焦在产业的科研能力和成果转化能力上。比如微软的视窗操作系统,华为的网络设备,谷歌的AlphaGo,苹果手机,腾讯微信,特斯拉汽车,大疆无人机……产业演进能够改变“科技安全”的格局,而举国体制的投入同样也能加速驱动科技创新的速度,例如神舟和天宫、蛟龙和大飞机、高铁和超高压输电等等。市场机制和举国体制需要协同并进,但应该警惕让举国体制越位到市场环境中来。
每个安全领域都有不同的模式和机制,对信息安全也不例外。军事冲突、贸易战烈度较大,社会道德和意识形态的冲突起效慢,但影响长远。目前,因为信息安全而爆发军事冲突的情况虽然尚未出现过,但为此而发动外交博弈和贸易限制的案例早已有之。
在此前几次中美外交对话中,从小布什、奥巴马开始,总会将所谓“中国黑客”问题摆在案头作为筹码。今年,中国国家主席习近平和美国总统特朗普在海湖庄园会晤时,共同宣布两国建立外交安全对话、全面经济对话、执法及网络安全对话、社会和人文对话4个高级别对话机制。可见,网络安全成为外交博弈中的重要一环。
2012年10月,美国国会众议院特别情报委员会公布了对中国通信设备企业华为和中兴通讯的调查报告。以网络安全的名义,通过贸易限制的手段,限制中国公司进入美国市场,这种做法除了基于国家利益的主导性因素,还与美国国内拥有完备的法律体系做支撑和保障密切相关。
相比之下,在我国,法治手段一直是网络安全领域的一个短板。仅仅通过刑法等非专业法以及全国人大的司法解释等,难以构建网络安全领域基本的法律框架。在社会和产业层面,通过国务院条例和其他行政规定来规范管理的做法,虽然具有一定的效果,但并不符合国家逐步法治化的趋势。在国际博弈中,缺乏法律支撑的我们常常陷于被动受阻的地位。
2016年11月7日,全国人大常委会通过了《中华人民共和国网络安全法》,并于今年6月1日开始施行。有了《网络安全法》这个锚点,原先的《信息系统等级保护制度》就可以通过法律的形式确立下来,更好地发挥合规性作用。一些过去在监管执行中行之有效的措施,也都可以以这种方式更好地得到完善和贯彻。
《网络安全法》中,整个第三章第二节都是对于关键信息基础设施安全的阐述。而关键信息基础设施安全也是网络安全领域在国家安全方面的关键支柱。其中,第三十五条中明确提出“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。”网络安全审查措施,为有关部门对于国内外产品服务商进行审查提供了法律依据。
今年4月11日发布的《个人信息和重要数据出境安全评估办法》征求意见稿,就是针对大量数据出境可能引起国家安全风险的管控措施。而这个《评估办法》的第一条就明确提出,《国家安全法》和《网络安全法》是这个评估办法制定的基础,是一个“锚点”。
可以预见,众多的网络安全问题和涉网安全问题,都将以《网络安全法》作为锚点,不断完善专项法规和条例。比如:公民个人信息和隐私保护、网络反恐、网上经济秩序、网络金融风险防范、涉网灾难应急等等。这虽然还不是一部完美的法律,但它将为个人、机构、国家防范网络风险提供一个可以信赖的依托,一个坚实的锚点。
(作者系启明星辰集团首席战略官)